アップデート:Azure BYOS のセキュリティを高める AvePoint 製品

投稿日: 10/19/2021
feature image


※この記事は、米国 AvePoint で 2021 年 9 月 29 日付で公開された記事 “How AvePoint is Enabling Better Security for Azure BYOS Customers” を日本語編訳したものです。

★AvePointのセキュリティ製品導入事例はこちらをご覧ください。
佐賀銀行
琉球大学
福井県庁
三井住友信託銀行様
東洋エンジニアリング様
花王様
オムロン

AvePoint は、お客様のセキュリティやビジネスの要件を満たす BYOS (Bring Your Own Storage) モデルに対応する製品を多数ご用意しています。当社は、BYOS デバイスとして Azure Storage を利用されるお客様に対し、その性能を最大限発揮できるように、基本的に AOS と Azure のリージョンを同一に設定することを推奨しています。

セキュリティ管理では、多くの場合、セキュリティを強化するためファイアウォールが提供されます。そこで、AvePoint は既知の IP アドレスを公開し、既知のエンドポイントを提供することで、お客様が利用する定義済みファイアウォール設定内での作業を実現しています。

この手法では、このふたつのソリューションの交わるところで課題が発生します。AvePoint のサービスは、同一リージョンの Azure Storage にアクセスする際に、Microsoft Azure による同一リージョン内のトラフィック処理で性能を発揮できるように、Azure の内部 IP を経由してアクセスします。結果として、この設定のお客様は、IP ベースのファイアウォールを使用できなくなります。

しかし、ここで良いニュースがあります。Microsoft の Azure Virtual Network (VNet) に、エンドポイントの VNet 設定に基づいて Azure Storage のファイアウォールのルールを許可する機能が追加されたのです。これにより、AvePoint の BYOS を利用されているお客様が、ネットワーク トラフィックの安全なセキュリティ基準を維持した状態で同一リージョンの Azure Storage を利用できるようになりました。AvePoint は VNet を活用できるように、2021 年 11 月にクラウド プラットフォーム AOS のアップデートを公開する予定です。このとき、バックアップ作業への影響を防ぐため、既存の IP アドレスに関する制限を更新する必要があります。


この変更の影響を受ける方

この変更は、大半のお客様にとって透明性のある形で進められます。しかし、IP ベースのファイアウォールを有効にして BYOS を利用されている方は、これから記載する点にご注意ください。2022 年 1 月以降、以下の製品で世界的に VNet ストレージのエンドポイントが有効化されます。

  • Cloud Backup: AvePoint の既定ストレージを使用せず、独自のストレージを構成してバックアップ データを保存しているお客様も対象です。
    • Cloud Backup for Microsoft 365
    • Cloud Backup for Dynamics 365
    • Cloud Backup for Google Workspace
    • Cloud Backup for Salesforce
    • Classic Backup (旧称 DocAve Online、Exchange Online および Granular Backup)
  • Cloud Archiver: カスタム ストレージを構成されるお客様。Cloud Archiver をご利用される、Cloud Records ユーザーのお客様も対象です。
  • Cloud Governance: 「レポート エクスポート先」に独自の Azure BLOB ストレージを構成したお客様。
  • AvePoint Online Services for Partners: Cloud Backup for Microsoft 365 および Cloud Backup for G-suite の「Start Service」機能を使用する際に、独自のストレージを構成されるパートナー。
  • AvePoint Online Services: お客様が、「レポート データ コレクション」を有効にして監査ログを独自のストレージに保存している場合、この設定は通常は Policies for Microsoft 365、Cloud Management のレポート センター機能、Cloud Insights で機能します。

この計画された変更は、大半のお客様にとって透明性のある形で進められます。ただし、ごく一部のお客様には影響が出る可能性があります。以下に例を挙げます。

  1. BYOS が有効になっている米国東部のデータ センターで、AvePoint Online Services にサインアップしたとします。ストレージが米国西部の Azure にあり、IP ベースのファイアウォールが有効になっている場合、今回の変更の影響を受けます (米国西部は、Azure の米国東部とペアを構成するリージョンです)。
  2. BYOS が有効になっている米国東部のデータ センターで、AvePoint Online Services にサインアップしたとします。ストレージが米国中央部の Azure にあり、IP ベースのファイアウォールが有効になっている場合、今回の変更による影響はありません (米国中央部は、Azure の米国東部とペアを構成するリージョンではありません)。

影響を受けるか判断するには、次の表を参照してください。

AOS データ センターの Azure リージョンのペアの表:

影響を受けるユーザーはどうすべきか

ごく一部の影響を受けるユーザーに該当する場合、Azure Virtual Network (VNet) ベースのファイアウォール ルールを BYOS の Azure Storage に追加する必要があります。お客様の準備が整い次第、当社のサポート チームとカスタマー サクセス チームがこの作業を行わせていただきます。可能であれば、11 月のリリース前後に行うことが望ましいでしょう。

対象となるのは、要約すれば、Azure Storage で BYOS を使用しており、ストレージでファイアウォールを有効にする必要があるお客様です。

  • Azure のストレージが同一リージョンまたは AOS のペアを構成するリージョンにある場合は、VNet ベースのファイアウォール ルールを追加する必要があります
    • 柔軟性をより高めるため、IP ベースのファイアウォール ルールを追加することをお勧めします
  • Azure のストレージが別の Azure リージョンにある場合は、IP ベースのファイアウォール ルールを追加する必要があります。

この変更は、なるべく日本時間で 2021 年 11 月 7 日 18 時に完了する AOS の 11 月リリース直後に行ってください。

AvePoint の最新情報をキャッチアップしたい方は、是非当社のブログの配信登録を行ってください

Share this blog

ブログを購読する